You need to enable JavaScript to run this app.
导航
分布式云原生平台
  • 文档首页
    • /
  • 分布式云原生平台

保密字典

最近更新时间2024.04.26 15:28:57

首次发布时间2023.12.13 19:07:11

我的收藏

保密字典(Secret)是一种加密存储的资源对象,用户可以将认证信息、证书、私钥等保存在保密字典中,而不需要把这些敏感数据暴露到镜像或者 Pod 定义中,从而更加安全和灵活。

创建保密字典

前提条件

操作步骤

  1. 登录 分布式云原生控制台
  2. 在左侧导航栏选择 联邦主控实例,进入主控实例管理页面。
  3. 在主控实例列表,单击目标主控实例名称,进入主控实例配置页面。
  4. 在左侧导航栏选择 配置管理 > 保密字典,进入保密字典管理页面。
  5. 单击 创建保密字典,根据引导提示配置参数,所有参数配置完成后,即可开始创建保密字典并实现多集群分发。
  • 完成保密字典相关资源配置,完成后单击 下一步:部署配置

alt

配置项说明
名称根据系统提示,配置保密字典的名称。在同一个命名空间下,名称必须唯一。
命名空间选择保密字典所属的命名空间,建议选择您自定义的命名空间,或系统默认创建的 default 命名空间。

类型

保密字典的类型,支持:密钥(Opaque)、仓库密钥(Dockerconfigjson)、证书(TLS)。

说明

保密字典创建成功后,不支持修改类型。

密钥(Opaque):一般密钥类型,可通过如下两种方式中任意一种,设置密钥的配置内容。

  • 添加键值对:设置保密字典的密钥名称(键)和 值,支持添加多个键值对,值支持为空,不做校验。

  • 上传本地文件:上传本地的密钥配置文件,支持上传多个文件。

仓库密钥(Dockerconfigjson):存放拉取私有镜像仓库镜像所需的认证信息,还需要配置如下信息。

  • 仓库域名:私有镜像仓库的域名,例如cr-****-cn-beijing.cr.volces.com/demo/****。

  • 用户名:私有镜像仓库的登录用户名。

  • 密码:私有镜像仓库的登录密码。

证书(TLS):存放负载均衡服务所需的证书,还需要配置如下信息。

  • 上传证书:上传 TLS 证书文件,限上传 1 个。

  • 上传密钥:上传 TLS 文件的密钥文件,限上传 1 个。

标签对应 Kubernetes 中的 Labels,用于指定该保密字典的标识属性。单击 添加标签,根据界面提示输入符合要求的
注解对应 Kubernetes 中的 Annotations,用于为保密字典附加任意非标识的元数据,包括 标签 不允许的字符,方便客户端能够检索此元数据。单击 添加注解,根据界面提示输入符合要求的
  • 填写保密字典的部署分发策略,完成后单击 确定

alt

配置项说明

分发策略

部署配置的开关,可根据实际情况(是否已创建策略、是否需要立即分发资源)确定是否需要立即配置策略并分发资源。

  • 关联已有策略:已经创建部署策略、差异化策略,即刻关联策略并分发资源。

  • 暂不关联:仅创建资源,暂不关联策略,也不进行资源分发,直到更新部署策略。

部署策略

根据实际情况配置资源关联的部署策略(包括:命名空间级或集群级)。
选定部署策略后,可展示部署策略中副本模式调度和跟随调度配置的开启状态,若需要调整部署策略相关配置,可单击 配置,跳转到部署策略更新页面进行调整。

差异化策略配置资源关联的差异化策略(包括:命名空间级或集群级),可根据实际情况选择一个或多个差异化策略,的确没有差异时可留空不填。

冲突资源接管

默认不勾选,表示待分发资源与成员集群中已有资源名称冲突时的处理策略,勾选后将通过联邦资源统一管理已存在的资源。资源冲突场景具体说明及注意事项参见:资源冲突策略

  • 若不勾选此项,当成员集群中已经存在待分发的同名资源时,将会出现资源冲突错误,已存在的资源不受影响,待分发资源分发失败。

  • 若勾选此项,需要进一步指定 接管目标集群。当成员集群中已经存在待分发的同名资源时,将通过联邦资源统一接管已存在的资源。

管理保密字典

联邦资源的管理操作基本相同,详细介绍参见:管理联邦资源